Norton wird von Rootkid gekillt

Hey,

es gibt bei Youtube einen "Hobbytester" (Languy99) der auch schon die Beta von NIS 2012 geteste hatte.

Bei der Beta wurde durch ein Rootkit, Norton gekillt.

Das ist jetzt auch bei der Final passiert:

http://www.youtube.com/watch?v=vevMayUWcwQ

 

Hier noch das Video der Beta: http://www.youtube.com/watch?v=tCRf7V_VE0o

 

Sehr komisch, oder?

Hey,

es gibt bei Youtube einen "Hobbytester" (Languy99) der auch schon die Beta von NIS 2012 geteste hatte.

Bei der Beta wurde durch ein Rootkit, Norton gekillt.

Das ist jetzt auch bei der Final passiert:

http://www.youtube.com/watch?v=vevMayUWcwQ

 

Hier noch das Video der Beta: http://www.youtube.com/watch?v=tCRf7V_VE0o

 

Sehr komisch, oder?

Hi,

 

Der Systemstartschutz war in der 2011er auch nicht standartmäßig aktiviert. Da das Starten vom OS dadurch

verlangsamt wird.

Desweiteren liegt das nicht nur an Norton, sondern auch die Einstellungen vom OS, Stichwort, Admin

Benutzerkontensteuerung usw.

Das geht mit anderen AV Produkten auch.

Ich möchte das hier nicht schmälern, sondern nur hinweisen auf vernünftige Systemeinstellungen mit Norton!

 

l.g

Manuel

Ja, da hast du wahrscheinlich recht. Die Benutzerkontensteuerung ist (richtig eingestellt und natürlich nicht ignoriert) ein guter Schutz. Und ich habe auch nicht gesagt (oder zumindest nicht gemeint), dass es nur an Norton liegt. Leider sind wir momentan in einer Zeit, wo die Sicherheitshersteller den Virenschreibern mehr oder weniger hinterher sind. Aber es kann trotzdem sein, dass der Systemstartschutz das blockiert hätte...

 


logi42 schrieb:

Der Systemstartschutz war in der 2011er auch nicht standartmäßig aktiviert.



Bist du dir da ganz sicher? Ich kann mich nicht entsinnen, ihn manuell eingeschalten zu haben und er war bei mir definitiv an.

 

Hi,

 

Das war nicht böse gemeint!:smileyvery-happy:

Ja der Systemstartschutz war standartmäßig deaktiviert in 2011! Ja da hast du Recht, heutzutage wird man nur so überflutet mit Viren, Würmern etc. Da ist es fast unmöglich für die AV Hersteller so schnell zu reagieren.

Deshalb schreitet die Cloud ja auch immer weiter voran!

 

l.g

Manuel


logi42 schrieb:

Das war nicht böse gemeint!:smileyvery-happy:




Ich habe es auch nicht böse aufgefasst. :smileywink:

 

Ja, die Cloud ist das eine, ich würde mir aber vor allem eine noch bessere verhaltensbasierte Erkennung wünschen. Denn wenn Viren nur noch in sehr kleiner Zahl verteilt werden, dann hat die Cloud genauso wenig Dateien zur Analyse wie der Hersteller. Einige Hersteller regeln das z. B. über eine Sandbox - verdächtige Dateien werden darin gestartet, getestet und wenn die zum Schluss als gefährlich eingestuft werden wird die Sandbox gelöscht. Im US-Forum wird ja bereits heftig diskutiert, ob eine Sandbox notwendig ist oder nicht. Meine Meinung - ja. Wer sie nicht möchte, kann sie ja ausschalten...

 

Ja, das mit der Sandbox kenne ich von Kaspersky! Ich persönlich finde das nicht schlecht mit der Sandbox.

Denn da kann man Programme, Web-Seiten usw. testen ohne das System zu gefährden!

Dennoch müßte sie einwandfrei laufen, bei Kaspersky ist sie zb. nicht 100% sicher und stabil.

Dort im Forum wird zb. abgeraten manche Programme zu testen.

Es gibt auch ein keines Tool namens Sandboxie (Kostenpflichtig) um Programme oder Web-Seiten in sicherer

Umgebung zu aufzurufen.

 

l.g

Manuel

Also mit Sandboxie surf ich sowie so nur. 

 

Der Systemstartschutz ist bei mir aktiviert....

Sollte er auch! Standartmäßig ist er auf Normal eingestellt!

 

Spoiler (Zum Lesen markieren)
5.PNG

 

 

l.g

Manuel

Ich kenne die Sandbox von avast! (auf dem virtuellen PC drauf) und da läuft es wirklich gut.

Sandboxie ist zwar auch eine Sandbox, aber ich stelle mir das dann eher so vor, dass das Antivirenprogramm diese auch nutzt, um Programme zu analysieren und evtl. zu blocken, also die Sandbox zu entfernen. Quasi ein kleines Virenlabor, nur ressourcenschonender und einfach zu bedienen :smileyvery-happy:

 

@Manuel:

 

Also bei mir ist der Systemschutz Standartmäßig auf AUS und der "Übernehmen"-Button wird bei mir nur grau wenn ich den Systemschutz manuell auf Normal stelle. 

 

Du solltest vielleicht nochmal auf "Standardwerte verwenden" klicken und schauen was dann passiert :smileywink:

ist das euer Ernst ? :smileyhappy:

 

 

- ich hatte einen echten Penetrationstest erwartet wo er uns zeigt das dieser Rootkit nach aussen kommunizieren kann

 

- ich hatte erwartet das er nicht die standard Einstellungen von Norton nimmt

 

- Malwarebytes und Hitman Pro lassen sich im Clip auch nicht starten und updaten .. was heisst  das dieses "Ding" eine Komponente von Windows zerschossen hat die Norton und alle anderen Antiviren brauchen damit die Benutzeroberfleche gestartet werden kann ... das heisst aber noch lange nicht das der Scan nicht funktioniert  :smileyhappy:

    man kann den Scan ueber die Eingabeaufforderung starten, mit einen Befehl  :   navw32.exe /?    (es sind mehrere Parameter auswaehlbar, /l wie Ludwig fuer einen vollstaendigen Scan )

 

 

   

das selbe laesst sich auch im abgesicherten Modus machen, falls es zum Ernstfall kommt

 

- er hat nicht NPE an stelle von GMER und den anderen genommen

- er hat die Recovery CD von KS genommen und nicht die von Norton ( lach )

- ich habe mir auch andere Clips angeschaut wo er die Konkurenz genau so dumm niedermacht

 

 

Fazit ist :

 es ist nicht nur die Anwendung selbst zu bewerten, sondern die Dienste von Norton allgemein. Mit der Virenentfernungsgarantie ( kostet 5 euro ) kann sich ein Virenexperte mit euren Rechner verbinden und es selbst per Hand bereinigen.

 dieser Test hat wenig Wert ...

 

mfg

John

 

 

@logi42

 

Natürlich war der Systemstartschutz im NIS2011 aktiviert , er war dort nach Installation immer auf Normal gestellt, in den davorigen Versionen auch . Es gibt bisher keinen Grund warum der Systemstartschutz im NIS2012 abgestellt sein sollte.

 

Ich hab testweise NIS2011 installiert.

Unbenannt.JPG

Ja ich habe auf meinem anderen System auch noch einmal 2011 installiert!

Ist Standartmäßig auf normal!

 

l.g

Manuel

So hier ein Beweiss  das der Systemschutz bei NIS 2012 standartmäßig auf AUS steht !

Ist nicht der Norton-Produktmanupilationsschutz gegen das abschalten von NAV / NIS durch Malware zuständig?

 

https://www-secure.symantec.com/norton-support/1.6/jsp/help-solutions.jsp?docid=v45039218_NAV_Retail_2012_de_de&utm_source=symc&utm_medium=product&product=Norton%20AntiVirus&version=19.1.0.28&lg=0701&layout=Retail&layouttype=ESD&buildname=Retail&symskucurrent=20990978&symskumedia=21174097&partnername=Retail&subremaining=378&sublength=382&substatus=current&psn=HJMDJCYPDFQP&actstat=activated&curdefs=20110913.017&hbguid=5907B8CF-9255-4084-87E3-B2228ECC7354&osversion=6.0%206002.18484.x86fre.vistasp2_gdr.110617-0336&spversion=2.0&oslang=de&ct=Germany&defbrowser=Internet%20Explorer&ieversion=9.0.8112.16421&coreservice=Startup%20Type:auto%20State:Running&conntype=54000000&cpu=x86%20Family%206%20Model%2023%20Stepping%2010&dsfree=111.39&dstotal=163.35&memload=50%&memtotal=2496&datetime=09-14-2011%2009:14:36%20GMT&hcmode=false&helpid=NAV_miscell_sett_prod_settings_RT&entsrc=help&pvid=f-nav-cur&country=Germany&language=German

 

 

bei mir war es ebenfalls nach Installation der neuen Version 2012 auf aus gestellt

 

LG Jana

Ja, dafür ist er zuständig, aber wenn er erst nach dem hochfahren aktiviert wird kann er das auch nicht verhindern.

@Jana
Was war bei dir standardmäßig aus, der manipulationsschutz oder der systemstartschutz?

ich meine nur der  Systemstart :womanwink:  - weiß es aber nicht mehr genau

 

PC ist zur Zeit in der WErkstatt - kann jetzt net gucken

 

 

LG jana